ニュース 03-03-2022

TLS/SSL の最新ニュース:2022 年 2 月

デジサート

ネットワークや TLS/SSL セキュリティに関する最新ニュースをまとめてご紹介します。この連載の記事一覧を見るにはこちらをクリックしてください。

ロシア侵攻 - サイバーセキュリティの現場で何が起きているか

データ侵害

  • フィッシングと見られる攻撃で、わずか 3 時間で 200 万ドル相当の NFT が盗まれました。この攻撃は、OpenSea のユーザーを標的とし、ほとんどの NFT スマートコントラクトの基盤となっているオープンソース規格の脆弱性を利用したものです。攻撃者は不完全なコントラクトで有効な電子署名を使用し、コントラクトを自分のウォレットに転送できました。実質的には白紙の小切手を盗むようなものだと説明されることもあります。
  • インターネットをオープンで安全なものにすることを目的とする非営利団体、インターネットソサエティで、8 万人を超える会員データが流出しました。同団体は、データが流出したのは少なくとも 1 カ月間にわたりデータが流出可能な状態にしていたサードパーティーベンダーの責任であると主張しています。

脆弱性

  • Proofpoint 社のサイバーセキュリティ研究者によると、フィッシングキットの使用など、ハッカーは多要素認証(MFA)を回避する方法を見つけることが多くなっています。フィッシングキットは攻撃者が認証情報を入手して使用できるようにするもので、通常、安価に入手できます。新しいキットでは、ユーザー名やパスワードだけでなく、MFA トークンなども盗むことができます。
  • ハッカーが MFA を回避するために使っているもう一つの手口は「疲労攻撃」で、これは MFA のプッシュ通知を浴びせかけ、被害者が偶然かどうかにかかわらず認証するのを待つというものです。もちろん、攻撃者はまず被害者の認証情報を入手する必要がありますが、認証情報は簡単に盗めるようになってきています。

政府規制

停止

量子コンピューティング

  • JPMorgan Chase 社では、米国商務省標準化技術研究所(NIST)の勧告への準備として、ネットワークの脆弱な部分を特定するなど、耐量子コンピューターの安全性を確保するための現在の取り組みについて詳しく説明しました。同社は、「これについては、積極的に取り組むことが重要だ」と述べています。

マルウェア

  • 暗号通貨ウォレットを狙う新しい暗号通貨マルウェア は、ユーザー名、ドメイン名、コンピューター名、マシン ID、インストールされているソフトウェアとそのバージョンから、秘密鍵までを盗むことができます。「Mars Stealer」と名付けられたこのマルウェアは、ウォレットのブラウザ拡張機能を利用し、グラバー機能で 2 要素認証などのセキュリティ機能を突破することが可能です。
  • また、ハッカーは NFT の人気を利用して被害者を騙し、攻撃者がデバイスやウェブカメラをハイジャックできるマルウェアをダウンロードさせることも行っています。攻撃者は、NFT に関する情報を含むとされる「奇妙な形の Excel スプレッドシート」を使って、疑うことを知らない被害者にファイルをコンピューターにダウンロードさせ、BitRAT マルウェアを拡散させたと言われています。
  • 研究者は今月、ハッカーが Microsoft Teams を介してマルウェアを配布し、同プラットフォームを利用して悪意のあるファイルを共有していたことを発見しました。ハッカーは、ユーザーの電子メールにアクセスして Teams を使用し、マルウェアが埋め込まれたファイルを共有していました。

モノのインターネット

  • 米国商務省標準化技術研究所(NIST)が IoT とソフトウェアのセキュリティラベルのあり方について概説しました。栄養表示と同様に、これらのラベルは、消費者が購入する際に、特にデバイスやソフトウェアのプライバシーとセキュリティに関して、より多くの情報を提供することになります。シンガポールやフィンランドなどのいくつかの国では、すでに同様のセキュリティラベル制度について議論または実施が進んでいます。
UP NEXT
Smart Seal

スマートシール: 耐量子セキュリティソリューションの先進的企業は信頼をいかに示しているか

 

5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失